מגה מיכשור
חדשות
חדשות סייבר
לעמוד קודם

מגמה חדשה? סופוס מדווחת על ריבוי־מתקפות סייבר

15/08/2022
זמן קריאה: 2 דק'

סופוס (Sophos), חברת אבטחת מידע וסייבר פרסמה דוח איומים פעילים בשם "Multiple Attackers: A Clear and Present Danger (ריבוי־תוקפים: סכנה ברורה ומיידית)," שנכתב על ידי צוות מומחי הסייבר בסופוס ובמסגרתו דווח כי שלוש קבוצות כופרה מוכרות – Hive, LockBit ו־BlackCat – תקפו את אותה רשת בזו אחר זו. שתי המתקפות הראשונות התרחשו בהפרש של שעתיים זו מזו, בעוד שהשלישית אירעה שבועיים לאחריהן. כל קבוצת כופרה שלחה דרישה משלה לתשלום דמי כופר, וחלק מהקבצים הוצפנו שלוש פעמים.

"אם ההתמודדות עם מתקפת כופרה לא הייתה קשה מספיק גם ככה, הרי שאיום חדש מאיים להפוך את מתקפות הכופרה לסיוט של ממש," מסביר ג'ון שייר, יועץ אבטחה בכיר בסופוס. "ריבוי־תוקפים על אותה רשת יוצר רמת מורכבות וקושי חדשים לגמרי בכל הנוגע להתאוששות יעילה ממתקפת כופר, ובפרט כאשר הקבצים הוצפנו שלוש פעמים. אף אחד לא חסין מפני האיום החדש הזה, ויכולות מניעה, זיהוי ותגובה למתקפת סייבר הופכות לחיוניות אפילו יותר עבור ארגונים מכל הגדלים וענפי המשק."

בדוח מתוארים מקרים נוספים שבהם אירעו מתקפות סייבר במקביל או בסמיכות זו לזו, ובהן מתקפות להשתלת תוכנות לכריית מטבעות מבוזרים (קריפטוגרפים), סוסים טרויאנים המאפשרים גישה מרחוק (RAT) ובוטים. אם עד כה התאפיינו מתקפות על אותה רשת שבהן היו מעורבים כמה תוקפים בהפרשים של שבועות וחודשים ארוכים ביניהן, המתקפות שנחשפות עכשיו בדוח של סופוס התרחשו בהפרש של ימים או שבועות בודדים, ובאחד המקרים אפילו בו־זמנית, כשבדרך כלל ניצלו התוקפים את אותה חולשת אבטחה כדי לתקוף שוב את אותה רשת.

בדרך כלל, קבוצות התקיפה מתחרות על משאבים, מה שמקשה על תרחיש של ריבוי־מתקפות כנגד אותה רשת. כך לדוגמה: תוכנות לכריית מטבעות מבוזרים (קריפטוגרפים) בדרך כלל מחסלות את המתחרים האחרים הפועלים באותה רשת, וכיום מפורסמת בפורומים של פושעי סייבר יכולתם של סוסים טרויאנים המאפשרים גישה מרחוק (RAT) לחסל בוטים מתחרים כיתרון תחרותי. עם זאת, במתקפה שבה היו מעורבות שלוש קבוצות הכופרה, לא רק שקבוצת BlackCat, האחרונה לפרוץ לרשת, מחקה כל  זכר לפעילותה, אלא שהיא גם מחקה כל זכר לפעילותן של קבוצות LockBit ו־Hive. במקרה אחר, המערכת הודבקה בכופרת LockBit וכשלושה חודשים לאחר מכן ניצלה קבוצת Karakurt, שלה קשרים עם קבוצת הכופרה Conti, את הדלת האחורית ששתלה קבוצת LockBit כדי לגנוב מידע רגיש ולדרוש תמורתו דמי כופר.

 

 

"בגדול, נדמה שאין עוינות בין קבוצות הכופרה השונות. למעשה, בדוח של סופוס נחשף כי קבוצת הכופרה LockBit מצהירה במפורש שהיא לא אוסרת על פושעי סייבר המשתמשים בתוכנת הכופרה שלה לעבוד עם קבוצות כופרה מתחרות," מציין שייר. "אין לנו ראיות מוצקות לשיתופי פעולה רשמיים בין הקבוצות, אבל ייתכן שהגישה הפייסנית הזאת נעוצה בכך שהתוקפים מבינים שמספר המטרות בשוק הוא סופי ושהתחרות על כל אחת מהן הולכת וגדלה. ייתכן שהם מאמינים שככל שהקורבנות ימצאו עצמם במצוקה גדולה יותר, כמו במקרה של ריבוי־מתקפות על אותו ארגון, כך יגדלו הסיכויים שהם ישלמו את דמי הכופר. אפשרות נוספת היא שראשי הקבוצות האלו נמצאים בקשר ומסכמים ביניהם על שיתופי פעולה לתועלת הדדית, כמו חלוקת אחריות שבה קבוצה אחת אחראית על הצפנת המידע והשנייה על הוצאתו מחוץ לרשת. בשלב מסוים, יהיה על הקבוצות האלו להחליט האם להרחיב את שיתופי הפעולה או לאסור עליהם ולהפוך ליריבות, אבל לעת עתה אין חוקים וזירת הסייבר נותרת חשופה לריבוי־מתקפות על אותם ארגונים ומערכות."

מרבית ההדבקות הראשונות המתוארות בדוח של סופוס ניצלו חולשות אבטחה מוכרות שלא תוקנו בזמן. ברוב המקרים שבהם היו מעורבים כמה תוקפים, לא הצליחו הארגונים לתקן את חולשות האבטחה שהובילו למתקפה הראשונית ונותרו חשופים למתקפות נוספות מצד פושעי סייבר אחרים. פושעי הסייבר השתמשו באותם ליקויים בהגדרת תצורת שרתי
ה־RDP וביישומי גישה מרחוק כמו RDWeb או AnyDesk כדי להוציא לפועל מתקפות נוספות כנגד אותה רשת. רשימות של שרתי RDP ו־VPN חשופים הן אחת מהסחורות המבוקשות ביותר ברשת האפלה.

"כפי שמוזכר בדוח Active Adversary Playbook האחרון, בשנת 2021 הבחינה לראשונה סופוס במקרים שבהם נפל אותו ארגון קורבן למתקפות שונות והזהירה שזאת עלולה להפוך למגמה חדשה," מזכיר שייר. "אמנם בשלב זה הראיות לריבוי המתקפות שבהן מעורבים כמה תוקפים הן עדיין אנקדוטליות, אבל פרצות וחולשות האבטחה שארגונים רבים לא מתקנים יוצרות תמריץ והזדמנות לתוקפים להגביר בהתמדה את מאמציהם בכיוון הזה".

תגובות
הוספת תגובה
הוספת תגובה
 
כותרת
תוכן